2022年行业分析安全技术：系统安全脆弱性扫描技术分析

安全技术：系统安全脆弱性扫描技术分析脆弱性扫描器不同于入侵检测系统，由于前者搜寻的是静态配置，而后者搜寻的是瞬时误用或特别状况。脆弱性扫描器可能会通过检查一个远程系统上的可用服务和配置，来搜寻一个已知的NFS脆弱性。处理同样脆弱性的入侵检测系统只有在攻击者试图利用一项脆弱性时才会报告脆弱性的存在。

脆弱性扫描器(不论是网络扫描器还是主机扫描器)使企业有机会在故障消失之前将其修复，而不是对一项已经进行的入侵或误用状况作出反应。入侵检测系统检查的是正在进行的入侵活动，而脆弱性扫描器可以让用户首先防止入侵。脆弱性扫描器或许对那些没有很好的大事响应力量的用户会有关心。

网络脆弱性扫描器

网络脆弱性扫描器通过检查远程系统上的网络接口，以远程方式进行操作。它搜寻在远程机器上运行的脆弱服务，并报告可能存在的脆弱性。例如，rexd是一项脆弱服务，网络脆弱性扫描器将试图与目标系统上的rexd服务相连。假如连接胜利，扫描器将会报告rexd脆弱性。

由于网络脆弱性扫描器能够从网络上的单一机器中运行，所以安装它不会影响其他机器的配置管理。这些扫描器常常被审计员和平安部门使用，由于它们能够供应给“局外人”对计算机或网络中的平安漏洞的看法。

优点

网络脆弱性扫描能够报告各种目标体系结构。有些是利用路由器来工作，有些是利用Unix系统来工作，还有一些是利用NT或其他Windows平台工作。

网络脆弱性扫描器通常特别简单安装和使用。和通常需要软件安装或重新配置的基于主机的系统不一样，基于网络的系统可以放在网络上。只需将接口插入交换机并启动机器就行了。

网络系统中的GUI往往相当直观，这意味着初级人员就能监控系统，假如消失特别状况可以呼叫更多的高级分析人员。

缺点

网络脆弱性扫描器是几乎完全基于特征的系统。和基于特征的入侵检测系统一样，基于特征的脆弱性扫描器只能检测它能通过程序识别的那些脆弱性。假如消失新的脆弱性(这种事情常常发生)，攻击者在厂商更新特征(以及用户下载并安装新的特征)之前就有攻击的机会。假如脆弱性仍被保留，那么系统就可能在很长的时间里简单受到攻击。

假如用户对脆弱性特征像过去对病毒特征一样马虎大意，那么很多企业就简单受到攻击，即使它们定期运行脆弱性扫描器。最近的分析显示，90%的运行IIS的Web服务器仍旧简单消失特别严峻的平安脆弱性，厂商为此已经供应了修补程序和平安顾问。脆弱性扫描器只能指出可能存在的问题;解决这些问题仍旧要靠企业自己。

网络脆弱性扫描器的另一个潜在问题是，“脆弱性”概念包含其他一些松散定义的概念，如风险、威逼、可接受性和估计的攻击者技能。由于这些因素都因用户而异，所以某项配置代表一项“脆弱性”的程度也因用户而异。

当脆弱性扫描器报告某项脆弱性时，企业的网络或操作人员必需依据该企业的操作环境来对报告进行评估。那些脆弱性或许在该企业的环境里不会构成为一项不行接受的风险，或者说这项风险或许是被商业需求强加给该企业的。

我们知道一些脆弱性扫描器把目标系统给毁了。某些IP工具不够健壮，不能处理很多同时的连接或者拥有特别标记组合的IP包。例如，一次过分的端口扫描所生成的通信量有时可能使机器瘫痪。

最终，网络脆弱性扫描器往往包含大量脆弱性数据。假如任何人闯入了扫描器系统，那么破坏网络上的大部分其他的机器就犹如儿童嬉戏一样简单。所以要爱护扫描器，防止未经授权使用扫描数据。

主机脆弱性扫描器

主机脆弱性扫描器与网络脆弱性扫描器不同，由于它完全局限于本地操作系统。网络脆弱性扫描器需要能够从网络上访问目标机器，以便它可以运行;而主机脆弱性扫描器则不需要这样。

主机脆弱性扫描器是安装在一个特别操作系统上的软件包。一旦安装了软件，它就能被配置成在白天或晚上的任何时候运行。通常，由这种工具进行的扫描被支配在低优先级上运行，以削减扫描对生产工作的影响。

优点

主机脆弱性扫描器对特定操作系统而言往往更加协调、更加精确。它可以常常告知用户用哪些修补程序来修复被确认的脆弱性，而网络扫描器有时只供应一般的指导方针。在考虑购买哪个产品时，讨论一下你的特定操作系统的抽样报告，以确定这些报告中包含了多少信息。报告的广度和深度应当是一项选择标准。

主机脆弱性扫描器在运行时不消耗网络带宽。全部的处理工作只限于本地主机系统。

主机脆弱性扫描器不像网络扫描器那样可能使目标系统上的IP堆栈暂停。某些操作系统有一些与网络接口有关的、薄弱的或执行较差的IP堆栈。发送大量的通信量(像端口扫描器那样)或者特别的TCP头部标记可能会使接口暂停，这就需要重新启动。

主机脆弱性扫描器不太可能被一个胜利的入侵者用来应付你。黑客假如闯入了一个系统并发觉了一个网络脆弱性扫描器或者来自该扫描器的报告，可能会使用这项工具或这些报告来攻击你的企业内的其他系统。基于主机的工具供应的可用于扩充攻击范围的信息要少得多;也就是说，基于主机的工具要比基于网络的工具划分得更好。

缺点

主机脆弱性扫描器也是基于特征的。它搜寻已知危急的系统配置，并报告一种削减那些特别威逼的“食谱式”方法。本地系统步骤和操作要求可能需要在发觉任何特定脆弱性并对其实行措施时有敏捷性。

安装主机脆弱性扫描器要求系统管理员的合作。由于该软件在运行时通常拥有特权，所以每台机器的系统管理员应当接受该工具的